AWS サービスの使用
AWS Identity and Access Management
追加の認証情報を管理せずに AppStream 2.0 セッションのユーザーのみにアクセスできるようにするベストプラクティスは、IAM ロールを使用して AWS サービスにアクセスし、そのロールにアタッチされている IAM ポリシーを具体的に指定することです。AppStream 2.0 で IAM ロールを使用する際のベストプラクティスに従ってください。
ユーザーデータをホームフォルダとアプリケーション設定の永続化の両方に保持するために作成された Amazon S3 バケットを保護するための IAM ポリシーを作成します。これにより、AppStream 2.0 管理者以外はアクセスできなくなります。
VPC エンドポイント
VPC エンドポイントは、VPC およびサポートされている AWS のサービス、AWS PrivateLink による VPC エンドポイントサービスとの間のプライベート接続を可能にします。AWS PrivateLink は、プライベート IP アドレスを経由してサービスにプライベートにアクセスできるテクノロジーです。VPC と他のサービス間のトラフィックは、Amazon ネットワークを離れません。パブリックインターネットアクセスが AWS サービスにのみ必要な場合、VPC エンドポイントは NAT ゲートウェイとインターネットゲートウェイの要件を完全に削除します。
自動化ルーチンや開発者が AppStream 2.0 の API 呼び出しを行う必要がある環境では、AppStream 2.0 API オペレーション用のインターフェイス VPC エンドポイントを作成します。例えば、パブリックインターネットへのアクセスがないプライベートサブネットに EC2 インスタンスがある場合、AppStream 2.0 API の VPC エンドポイントを使用して CreateStreamingURL などの AppStream 2.0 API オペレーションを呼び出すことができます。次の図は、AppStream 2.0 API とストリーミング VPC エンドポイントが Lambda 関数と EC2 インスタンスによって使用される設定例を示しています。
(VPC エンドポイント )
ストリーミング VPC エンドポイントでは、VPC エンドポイントを介してセッションをストリーミングできます。ストリーミングインターフェイスエンドポイントは、VPC 内のストリーミングトラフィックを維持します。ストリーミングトラフィックには、ピクセル、USB、ユーザー入力、オーディオ、クリップボード、ファイルのアップロードとダウンロード、プリンターのトラフィックが含まれます。VPC エンドポイントを使用するには、AppStream 2.0 スタックで VPC エンドポイント設定が有効になっている必要があります。これは、インターネットアクセスが制限されていて、Direct Connect インスタンス経由でアクセスしたほうが有利な場所から、パブリックインターネット経由でユーザーセッションをストリーミングする代替手段となります。VPC エンドポイントを介してユーザーセッションをストリーミングするには、以下が必要です。
-
インターフェイスエンドポイントに関連付けられているセキュリティグループは、ユーザーが接続する IP アドレス範囲からポート
443(TCP) とポート1400–1499(TCP) へのインバウンドアクセスを許可する必要があります。 -
サブネットのネットワークアクセスコントロールリストでは、一時ネットワークポート
1024-65535(TCP) から、ユーザーが接続する IP アドレス範囲へのアウトバウンドトラフィックを許可する必要があります。 -
ユーザーを認証し、AppStream 2.0 が機能するために必要なウェブアセットを配信するためには、インターネットに接続できることが必須です。
AppStream 2.0 による AWS サービスへのトラフィックの制限について詳しくは、VPC エンドポイントからの作成とストリーミングに関する管理ガイドをご覧ください。
パブリックインターネットへの完全なアクセスが必要な場合は、Image Builder で Internet Explorer のセキュリティ強化構成 (ESC) を無効にするのがベストプラクティスです。詳細については、「AppStream 2.0 管理ガイド」の「Internet Explorer セキュリティ強化構成を無効にする」を参照してください。
